Las empresas están expuestas a un gran número de riesgos de ciberseguridad que pueden amenazar su negocio. Cuando se produce una brecha, y la pérdida o robo de información sensible, afecta enormemente a la reputación de la organización además de los costes implícitos que conlleva la restauración y recuperación. Pero no son los únicos problemas a los que hacer frente. Una parada del negocio puede tener nefastas consecuencias para la cuenta de resultados pudiendo llegar a poner en riesgo la viabilidad de la empresa.
Un reciente informe del Business Continuity Institute (BCI), realizado en 76 países con más de 650 responsables de continuidad de negocio y resiliencia entrevistados, refleja cómo el 53% de los encuestados se muestra “extremadamente preocupado” por los ataques cibernéticos.
No es para menos. Según el Ponemon Institute, las brechas de seguridad, que en un 84% se producen en la capa de las aplicaciones, de materializarse en un incidente cibercriminal pueden llegar a representar un coste medio anual, a nivel global, cercano a los 11.700 millones de dólares. Los efectos a nivel mundial que ha tenido malware como WannaCry y NotPetya dejan poco lugar a la discusión.
Las otras preocupaciones de los encuestados se centran en la violación de datos (42%) y las interrupciones no planificadas de las TIC (36%), fundamentalmente. Sin embargo, uno de los puntos más interesantes del estudio, sobre el que BCI llama la atención, es el modo en el que las pandemias (como el ébola), el cambio climático y sus inesperados fenómenos meteorológicos o los cambios regulatorios (como el RGPD) pueden amenazar también la continuidad de negocio. Son los nuevos desafíos que hay que tomar en consideración cuando se aborda un proceso de transformación digital.
La continuidad de negocio y la resiliencia organizacional han de incorporarse como requisitos indispensables
Ya no basta con desplegar una estrategia de protección de la información repartida en los diferentes silos que se reparten a lo largo y ancho de la organización. Ahora, no solo es precisa una línea de defensa más integral, sino que la continuidad de negocio y la resiliencia organizacional, tanto a corto como a largo plazo, han de incorporarse como requisitos indispensables.
De hecho, estudios recientes advierten que el 50% de las empresas han terminado sufriendo paradas de negocio por no haber sabido planificar adecuadamente la capacidad de procesamiento que requerían. El extremo opuesto no es mucho mejor, puesto que también hay organizaciones cuya infraestructura tecnológica está sobredimensionada, con lo que ello repercute en términos de costes fijos.
Visión integral y ciberresiliencia
Existe un máxima que, sencillamente, es incontestable: si la seguridad falla, el negocio se detiene. Por este motivo hay que considerarla como un proceso de mejora continua, una auténtica propuesta de valor y no un mero gasto. En el mercado existen innumerables propuestas que abordan esta cuestión desde diferentes ópticas.
En este sentido, HPE Pointnext plantea una visión clara y única. Su enfoque diferencial es la apuesta por una modernización digital en la que la protección de los datos sea una prioridad, entendiendo que esta solo es real si tanto la capacidad de recuperación como la continuidad de negocio forman parte del diseño mismo de la infraestructura. De esta manera, entran en juego desde el principio, y no como algo accesorio, todo lo relativo a la arquitectura de seguridad, estrategias de recuperación de desastres y las políticas de protección de datos y aplicaciones.
Desde el principio deben entrar en juego todo lo relativo a la arquitectura de seguridad, estrategias de recuperación de desastres y las políticas de protección de datos y aplicaciones
Además, teniendo en cuenta el volumen de amenazas existente hoy en día, la capacidad de resiliencia de una compañía es crucial para poder mantenerse en primera línea. Sin embargo, alcanzar un nivel óptimo no resulta una tarea sencilla: es el resultado de un complejo entramado en el que todos y cada uno de los componentes tiene que estar perfectamente alineado con el resto, remando en la misma dirección y retroalimentándose.
Cuatro ámbitos
En esencia, una correcta estrategia de ciberresiliencia debería conjugar cuatro ámbitos distintos, comenzando por llevar a cabo una gestión de los riesgos continua, ya que no hay lugar para la relajación. Esta gestión debe correr en paralelo con el negocio, disponer de todas las métricas necesarias y tener la habilidad de adaptarse y escalar ante diferentes escenarios.
Completando el capítulo de la protección, a esta gestión le debe acompañar una infraestructura segura y resiliente, es decir, estructurada y consistente, capaz de desplegar una defensa en profundidad que ataje las amenazas rápidamente al tiempo que mantiene controles de los riesgos identificados.
Solo así es posible alcanzar una defensa proactiva y predictiva, que vendría a ser el tercero de los ámbitos implicados. Una defensa, además, que está provista de una capa de inteligencia artificial (IA) tanto para la analítica de datos como para el soporte de operaciones, lo que aporta capacidades predictivas ante potenciales problemas.
En el mejor de los escenarios, esta defensa debería ser idéntica para todos los planos, esto es, para la nube pública, la privada, las TI tradicionales o la híbrida. De esta manera, se reducen los costes y, lo que puede llegar a ser más importante a la hora de hacer frente a una incidencia, se ataja la complejidad de la infraestructura híbrida que ya existe en la mayor parte de las organizaciones.
La seguridad debe integrarse en cada faceta de los entornos de datos de nube híbrida y de perímetro.
La seguridad debe integrarse en cada faceta de los entornos de datos de nube híbrida y de perímetro. No puede obviarse la realidad hacia la que nos encaminamos: según datos de la consultora independiente Gartner, los proyectos empresariales digitales darán como resultado que, para 2022, el 75% de los datos generados por las empresas se crearán y procesarán fuera del centro de datos o la nube tradicional y centralizada. Está a la vuelta de la esquina y, además, se trata de un salto de gigante si consideramos que el año pasado esa cifra se situó en menos del 10%.
Considerando que la seguridad al cien por cien es imposible, ¿qué sucede cuando todo lo señalado no funciona? Pues ahí es donde entra el último ámbito de actuación: disponer de unos procesos de recuperación eficientes, que no solo han de venir arropados con exigentes acuerdos de nivel de servicio (SLA), sino que también deben estar lo suficientemente testeados y automatizados, de manera que los tiempos de ejecución sean lo más cortos y efectivos posible.
Las personas
La propuesta de HPE Pointnext no deja de lado al eslabón más débil de la cadena cuando hablamos de seguridad: las personas. En este sentido, cuenta con un programa especial —Security User Awareness Training— con el que se pone el acento en la formación de los empleados en materia de seguridad, vulnerabilidades y buenas prácticas para reducir los potenciales riesgos.
Las organizaciones han de encaminarse hacia arquitecturas administradas y orquestadas por software, en las que la intervención manual sea mínima
En definitiva, las organizaciones han de encaminarse hacia arquitecturas administradas y orquestadas por software, en las que la intervención manual sea mínima. El objetivo es claro: los datos deben estar protegidos, mientras que el tiempo de inactividad y las interrupciones de los procesos comerciales se han de minimizar.
